[发明专利]一种电力移动应用越权访问漏洞检测方法

说明书

本发明公开了一种电力移动应用越权访问漏洞检测方法，包括：获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量；构造属于同一用户类型的不同用户针对同一操作的http请求，修改其中一个用户的http请求，并将修改后的请求发送给服务端，分析执行结果以检测平行越权访问漏洞；构造属于不同用户类型的不同用户的http请求，并修改属于某些用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞；综合检测发现的漏洞，完成越权访问漏洞检测。本发明用于在集成测试阶段对移动应用进行安全测评，为降低移动应用存在的安全风险，提高移动应用的安全性提供支持。

技术领域

本发明属于领域，具体涉及一种电力移动应用越权访问漏洞检测方法。

背景技术

近年来，在物联网、云计算等互联网信息技术高速发展的背景下，电力移动应用进入全面建设阶段。目前在电力营销、现场作业、数据采集、移动办公等各个领域，都在进行移动应用的建设与推广应用，以降低运营成本，提高工作效率。

移动应用在高速发展的同时，其信息安全问题也得到了越来越高的关注，如果移动应用在需求、设计、开发过程中产生的安全漏洞未在集成测试阶段被发现并整改，黑客利用移动应用的安全漏洞入侵电力系统，将给公司和用户造成损失。目前对电力移动测评工作表明，现有自动化安全测试工具中可以发现信息泄露、SQL注入、跨站脚本等传统的Web安全漏洞，但对于移动应用越权访问这种逻辑漏洞缺乏有效的检测手段。越权访问漏洞包括平行越权访问和未授权访问2种：平行越权访问是指某个用户可以访问其他用户的私有信息，例如每个用户只能查询自身的电量信息，如果可以查询其他用户的电量信息，则应用存在平行越权访问漏洞；未授权访问是指低权限用户可以获取到只有高权限用户才能获取的信息，例如只有管理员能够获取系统配置信息，如果普通用户也获取了该信息，则应用存在未授权访问漏洞。利用该漏洞可实施非法信息获取、数据篡改、违规操作等恶意攻击行为。

发明内容

为了克服现有自动化安全测试工具中的不足，提高移动应用的安全性，本发明提出一种电力移动应用越权访问漏洞检测方法，解决了现有自动化漏洞测试工具无法发现越权访问这种逻辑漏洞的问题，能够用于在移动应用上线前的集成测试阶段开展越权访问漏洞检测工作，为移动应用的安全建设工作提供支持。

实现上述技术目的，达到上述技术效果，本发明通过以下技术方案实现：

一种电力移动应用越权访问漏洞检测方法，包括以下步骤：

(1)获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量；

(2)构造属于同一用户类型的不同用户针对同一操作的http请求，修改其中一个用户的http请求，并将修改后的请求发送给服务端，分析执行结果以检测平行越权访问漏洞；

(3)构造属于不同用户类型的不同用户的http请求，并修改属于部分用户类型的用户可执行但其他类型用户无法执行操作的http请求，将修改后的请求发送给服务端，分析执行结果以检测未授权访问漏洞；

(4)综合步骤(2)和步骤(3)中检测发现的漏洞，完成电力移动应用越权访问漏洞检测。

进一步地，所述步骤(1)中获取并存储移动应用存在的所有用户类型和与每种用户类型对应的用户数量，具体包括以下步骤：

(1a)建立数据库；

(1b)根据移动应用的实际业务，确定移动应用存在的用户类型，并存储到数据库中；

(1c)根据移动应用的实际业务，确定并存储每种用户类型支持的用户数量，用户数量1个或多个，并存储到数据库中；

(1d)在数据库中增加“未登录的用户”这种用户类型，由于未登录用户的具有相同的权限，因此未登录用户的数量为1个。